101
3. Rendszer összetettség: szükséges megfelelően összegyűjteni és megérteni a compliance, tehát a törvényi megfelelőségi kockázatokat, melyek az alkalmazásokkal kapcsolatosak. Minden biztonsági előírást és követelményt az alkalmazás életútján keresztül követni kell. A fejlesztésnél, karbantartásnál és az élesítés lépéseknél egyaránt.
4. Alkalmazás támogatási kockázat: Minden kockázat ide tartozik, amely bekövetkezhet, amikor egy alkalmazást fejlesztenek, vagy verziót váltanak. Tehát a személyi kockázatok, vagyis az emberi mulasztásból eredő kockázatok [179].
A kutatásom alapján javaslom, hogy a vállalatok hozzanak létre egy kockázati analitikát, ami beépíthető az alkalmazás portfólióba. A beépítés alatt azt értem, hogy hozzá rendelhető legyen az egyes alkalmazásokhoz az informatikai kockázati analitika.
A kockázati elemzések készítésénél figyelembe kell venni az alkalmazások között meglévő és tervezett interfész kapcsolatokat, tehát az architektúrális kapcsolatrendszert.
A szervezet működési profiljától függ, hogy mi szerepel az informatikai kockázati listán.
A kiszervezett informatikai alkalmazásoknál több kockázati analitikára van szükség. Az alkalmazottak képesítése, képzettsége is egy kockázati faktor. A vállalatok mérete és az alkalmazottak biztonságtudatossága között van összefüggés. A nagyobb méretű vállalatoknál több oktatásra, tréningre van lehetőség, így a dolgozók is felkészültebbek a biztonsági szabályok betartására [176]. A folyamatos oktatással, képzéssel lehet csökkenteni az emberi mulasztásból eredő hibákat.
5.3 Esettanulmány
Az esettanulmányomban annál a nagyvállalatnál készítettem információ gyűjtést, ahol az akciókutatást végeztem. A felső vezetés igénye az volt, hogy az informatikai kockázatok definiáltak, mérhetőek és hozzárendelhetőek legyenek az informatikai alkalmazásokhoz. Az APM több éve jelen a nagyvállalatnál. Az informatikai kockázat mátrix kidolgozásához egy külsős céggel kötött szerződést a nagyvállalat. Az informatikai menedzsment terület és az informatikai alkalmazás portfólió menedzsment terület teljesen elkülönül a szervezetben, nincsenek átfedések a folyamatok között, illetve operatív szinten kommunikáció az alkalmazás tulajdonosok és az információbiztonsági szakemberek között. A projektben nem vettem részt, csak interjút készítettem az egyik szakemberrel. A projekt tervezési fázisában volt, és az összegyűjtött adatokat tudom
102
prezentálni a disszertációmban. Az előzetes egyeztetés alatt megosztott adatokat nem szerepeltethetem teljes körűen. A célja a kezdeményezésnek az volt, hogy lássa a szervezet a priorizált, fontosnak vélt informatikai kockázatokat alkalmazásonként. Az informatikai kockázatelemzés mellett az informatikai rendszer kockázatokkal arányos védelmének a meghatározása is feladat volt. Az informatikai kockázatok kategorizálásával párhuzamosan meghatározták a rendszerek informatikai biztonsági hiányosságait. Az alkalmazás portfólió nyilvántartási szoftverben lévő információk jó alapot biztosítottak volna a szervezetben, de ezt nem vették figyelembe a tervezés során.
Az informatikai kockázatok definiálásánál bevonták az alkalmazásokat használó üzleti egységek vezetőit, felhasználóit is. A következő lépésben alkalmazásonként kellett egy kockázati besorolást meghatározni. A kockázatelemzéseknek a része volt a folyamatos kommunikáció az üzleti területek képviselőivel, tulajdonosaival. Az üzletileg kritikus folyamatok azonosítása meghatározó volt, mert ez befolyásolta, hogy milyen informatikai alkalmazások érintettek a felmérésben. A kockázati besorolás mögött létezik egy analitika, ahol láthatóak az összes informatikai kockázatok felsorolva, valamint a bekövetkezés valószínűsége és a hatása. Az egyes informatikai kockázatokhoz úgynevezett Threshold-okat, vagyis küszöbértékeket kell besorolni. Az aktuális érték és a súly megadása után a mátrix kiszámolja, hogy milyen kockázatos az alkalmazás. Az esettanulmány készítésekor azt állapítottam meg, hogy az alkalmazást támogató informatikai szakembereknek van a legnagyobb tudása és szerepe a nyilvántartás készítésénél. A biztonsági szakemberek feladata, hogy az informatikai biztonságot fenyegető tényezőket feltárják. A meglévő, vagy bevezetés alatt lévő szabályzatok, utasítások adják a támpontot. Minden technológiai kockázatot figyelembe kell venni. A 20. táblázatban szerepel a hozzáférési profilhoz tartozó kérdések. Az értékek a profil kalkulációt szemléltetik. Az aktuális érték meghatározása többszöri ellenőrzés és egyeztetések után került bele az adattáblába. A súlyok meghatározására az üzleti és informatikai területek egyetértésére volt szükség. A pontok értéke egy automatikus kalkuláció eredménye, illetve a külső beszállító cég adta a kalkulációs logikát, beágyazott függvényekkel Excel adattáblában. A pontok, súlyok meghatározásához az üzleti területek jováhagyására volt szükség. Teljes körűen nem írhatom le a számolási logikát, ami a pontok, illetve a súlyozott eredményekre vonatkozik. A pontok 0-3-as skálán vannak meghatározva. Soronként a súlyozott érték kalkuláció alapja a súly és a pont értéke. A példa alapján a 40% szorozva 2-vel, osztva 100-al egyenlő 0,8. A súlyozott eredmények a tábla jobb felső részében található. A mintában az érték 0,78. Az érték az
103
utolsó oszlopban lévő súlyozott értékeknek az összege, osztva 2-vel. Ez minden kockázati profilnál ugyanaz. Az adatok nem tükrözik a valóságos adatokat. A táblában szereplő informatikai kockázati besorolások a legfontosabbak. A 21. táblázatban DRP olvashatóságára vonatkozik. Az első sorban a naprakész és jóváhagyott üzletfolytonosság nélküli szervezeti egységek száma szerepel. Ez azt jelenti, hogy számszerűsíteni kell, hogy az alkalmazásokhoz tartozó DRP-k melyik üzleti egységekben nincsenek elkészítve.
A következő méréshez korábbi adatokat és tesztelési eredményeket kell figyelembe venni. Kritikus, stratégiai besorolású informatikai alkalmazásoknál fontos a határértékek pontos meghatározása. A külső beszállító egy informatikai kockázati profilként szerepel, a 23. táblázat mutatja az informatikai kockázatokhoz tartozó kérdéseket. A kiszervezés, outsourcing során az informatikai tevékenységek egy részének vagy egészének szerződésben foglaltak alapján történő átadását jelenti. Veszélyforrásnak tekinthető, ha a vállalat adataihoz hozzáfér egy külső cég. A belső vállalati adatokhoz hozzáférést kell biztosítani a vendoroknak, de emellett a rendszeres ellenőrzésük is részét kell képeznie az informatikai kockázat kezelésnek. A nagyvállalatnál az alkalmazás tulajdonosok töltötték ki a táblázat értékeit, nekik volt elegendő információjuk a beszállító tevékenységéről. A 24. táblázat a szemlélteti a munkaerő képzettségét, felkészültségét.
Informatikai kockázati elemként jelenik egy informatikai alkalmazáshoz tartozó incidensek száma, amit a felhasználók okoztak. Ehhez az információhoz egy társosztály tudott adatot biztosítani. Az incidenskezelésen lévő informatikai szoftverből lehúzott riportból lehetett kinyerni az értéket.
A szükséges dokumentációk listája, tartalmára vonatkozó követelmények szervezeti sajátosság. Ha az adott alkalmazás pénzügyi üzleti funkciókat, például tranzakciókat támogat, akkor valószínűsíthető, hogy a külső ellenőrzések, auditok száma nagyobb lesz az alkalmazáson, összehasonlítva egy olyan alkalmazással, amiben nincsenek pénzügyi információk. Ezért a dokumentáció minősége, mint informatikai kockázati profil, magas besorolást, súlyértéket fog kapni az adott alkalmazásra. A következő lépés az aggregálás a besorolás alapján. Adott alkalmazáshoz elkészíthető sok és különböző informatikai kockázati mátrix. Informatikai alkalmazásonként, rendszerenként. A mátrixok eredményéből számolódik ki egy végső kockázati besorolás, amit majd az alkalmazás portfólióba, mint attríbutum szerepeltetni kell.
104
Adat hozzáférési ellenőrzés Súlyozott eredmény 0,78
Határérték
Almérés Aktuális
érték Szín Súly A mérés
egysége Sárga Zöld Pontok
Súlyozott értéke Átlagos napok száma a hozzáférési jogosultságok ellenőrzése
között. 20 G 40% napok 180 90 2,00 0,80
Hozzáférési jogok ellenőrzése alapján a felhasználókhoz
rendelt belépési felhasználói accountok száma. 22 Y 20% # 30 10 1,40 0,28
Azoknak a felhasználóknak a száma, akik külső
tevékenységből adódóan van joguk az alkalmazáshoz 900 Y 20% # 1100 800 1,67 0,33
Átlagos napok száma egy hozzáférés törléséhez. 3 R 20% napok 2 0 0,75 0,15
20. táblázat Adathozzáférési kockázati profil